公司搬了新办公室,网络要重新规划。作为负责服务器维护的老张,我得把内网部署这事捋顺。不是大厂那种动辄几百台服务器的架构,就是中小企业的实际场景:几十台电脑、几台打印机、一个文件服务器,再加个监控系统。稳定、安全、好管理,才是重点。
先搞清楚需求
别一上来就买设备。先问清楚:哪些部门要用?有没有远程访问需求?财务和人事的数据能不能让所有人都能访问?监控视频要不要存本地?把这些理清楚,才能决定怎么分网段、设权限。
比如我们公司,财务单独一个VLAN,普通员工在另一个,访客连Wi-Fi也隔离出去。这样哪怕有人笔记本中了病毒,也不会直接扫到财务系统的IP。
网络结构怎么搭
核心交换机接路由器,下面挂几个二层交换机,每个楼层一个。关键是要留余量,端口多备两个,以后加设备不抓瞎。我们用的是千兆交换机,主干走光纤,避免高峰期卡顿。
IP地址统一用DHCP分配,但服务器和打印机这些固定设备必须配静态IP,不然哪天重启变了地址,服务全断。DHCP范围可以设成192.168.10.100到192.168.10.200,留出前面一段给管理设备用。
服务器怎么放
物理服务器放在弱电间,环境要通风,最好有UPS。虚拟化平台用的是Proxmox,一台机器跑多个虚拟机,分别做文件服务、域控、备份服务器。域控这玩意儿一旦挂了,大家连不上网,所以开了HA高可用,主备切换基本无感。
文件服务器开了SMB共享,不同部门建不同目录,权限精细到人。比如市场部只能看市场部的文件夹,跨部门协作就单独授权。日志每天自动备份到NAS,保留30天。
安全不能省
防火墙开着,只放行必要的端口。外网访问公司系统?走VPN,我们用的是OpenVPN,手机也能连,密码+证书双重验证。没人会为了图省事开个远程桌面直接暴露在公网。
所有设备定期打补丁,尤其是Windows服务器。杀毒软件装一套,策略中心统一管理。上周隔壁公司中勒索病毒,就是因为RDP端口开着,密码还太简单。
配置示例:基础防火墙规则
# 允许内网互访
iptables -A FORWARD -s 192.168.10.0/24 -d 192.168.10.0/24 -j ACCEPT
# 允许DNS查询
iptables -A FORWARD -p udp --dport 53 -j ACCEPT
# 拒绝外网直接访问内网服务器
iptables -A INPUT -s 0.0.0.0/0 -d 192.168.10.10 -j DROP
# 只允许通过VPN访问管理界面
iptables -A INPUT -p tcp --dport 1194 -j ACCEPT这套规则看起来简单,但堵住了大部分常见漏洞。关键是持续检查日志,发现异常登录行为立马处理。
内网部署不是一锤子买卖,设备会老化,业务会调整,人员会流动。定期review网络结构,比出问题再救火强得多。